第二章 身分識別和身分竊用
第一節 身分識別理論
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
據資料庫就好像金銀寶庫一樣,馬上可以獲的成千上萬的個人私密資 料,用來作為其犯罪之用。網路也使的身分竊用成為一個專業分工的 產業,有電腦程式高手扮演駭客(hacker),專門撰寫駭客程式,有些 是販售駭客程式圖利,有些則是破解企業數據庫,取得訊息,再轉賣 他人。當然也有人願意出高價買這些訊息,用意則可想而知。各種網 路技術的發展,也使得執法機構能夠阻止或抓到這些罪犯進而將其定 罪的困難度大大增加。更深的事實是,身為資訊社會下的我們,為了 獲得商品服務和與人交流,是無法避免必須讓別人取得自己的個人訊 息。當使用個人資料成為一種必須且普遍的行為,個人資料的外洩就 很難防範,也無法保證自己不會成為身分竊用犯罪的受害者。
第一節 身分識別理論
人們總是通過一些身分資訊(Identity Information)或識別憑證 (Identifier)來證明自己或識別他人的身分。從本質上說,作為一種內 在屬性,一個人的身分是無法被偷去的,身分只能被假冒;實際上能 被偷去的是那些用來識別身分的身分資訊或識別憑證。身分竊賊首先 必須竊取足夠的他人身分資訊,然後才能非法冒充他人以獲取利益。
到了現代社會,Clarke 認為,從資訊系統的角度看,身分識別是「將
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
數據與具體的人相結合的過程」。5因此,身分竊用問題可以看成是一 種特殊的資訊管理或者資訊安全問題。
Clarke 提出,識別身分的方法主要有:(1)基於知識或資訊的識別:
即判斷一個人「知道什麼」,例如:密碼、口令、身分證號等;(2)基 於憑證的識別:即判斷一個人「擁有什麼」,例如:身分證,護照、
信用卡、介紹信等;(3)生物性識別:即通過一個人的外貌、指紋、虹 膜、聲音等生物性特徵以及一個人的行為資訊來識別身分。除了生物 性資訊是源自於本身,所以很難被竊用外,其它資訊都是外界賦予或 後天經人為創造出的,這些資訊是有可能被竊用或假冒的。
最真切的身分識別應是個人獨特之生物特徵,以現今科技能得著 應為「去氧核醣核酸」(deoxyribonucleic acid: DNA)編序、視網膜、指 紋和面部特徵等。惟此種身分識別恐侵犯人民隱私權,因太具爭議性,
故僅適用於特別環境和情況,以符法律保留及比例原則。司法院大法 官釋字第 603 號解釋文就有如此解釋。目前為止,唯一通用且較無爭 議的生物特徵識別之個人資料係相貌,一般方式係以相片或其他影像 資料方式存儲運用。但個人相貌本身就不是個精確的「憑證」,所以 尚不足為單一有效的身分識別方式。
Lopucki 對 Clarke 的理論進行了擴展,他提出身分識別是一個「特
5 CLARKE R . Human Identification in Information Systems : Management Challenges and Public Policy Issues[J] . Information Technology & People, 1994, 7(4) : 6- 37.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
徵值」 (Characteristic Values)匹配過程,而且特徵值必須是識別行為 雙方都掌握才行6。特徵值可能是姓名、身分證號、密碼、相貌、指 紋,等等。身分識別者(可能是人,也可能是系統)總是通過對比自 己所掌握的特徵值與對方所出示的特徵值是否匹配來識別對方的身 分。例如,我們通常通過相貌來識別朋友,而朋友的獨特相貌就是他 的特徵值之一。Lopucki 還提出,身分識別是分層的,有時身分識別 需要前一階段提供的證明資訊。這是因為身分識別者所掌握的特徵值 經常並非直接觀察得到,而是依靠一些間接記錄。7因此,身分識別 的準確性取決於前一階段身分識別的準確性。例如,我們到銀行開戶 和辦理自動櫃員機(ATM)提款卡需要出示身分證來證明自己的身分,
如果身分證是假的,那麼銀行所發出的 ATM 卡對該假身分證上資料 的本人也是無效的。Clark 雖然沒有提出身分識別過程的分層性質,
但他 也指出 ,很多 身分 證 明文件 的產生 需要「 種子文 件」 (seed documents)作為基礎。例如我們申請護照時需要提供身分證和戶口名 簿。種子文件可能是出生證明(birth certificate)、居住證明、移民文件 等等,其中最重要和起基礎作用的就是出生證明。8
不同情境下,識別身分所需要的身分資訊的質量和數量是有很大
6 LOPUCKI L M. Human Identification Theory and Identity Theft Problem[J] . Texas Law Review, 2001, 80(1) : 89- 136.
7 Ibid.
8 CLARKE R (1994)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
差異的,例如在遠端申請信用卡開卡服務時,我們需要提供一系列的 個人資料;而在使用電子郵件服務時,只需要用戶名和密碼。有時身 分識別需要採用多種識別方式的組合,例如我們在自動櫃員機(ATM) 上取款時,既需要擁有 ATM 卡(基於憑證的識別)又需要知道密碼
(基於資訊的識別),ATM 機才會認為我們是合法用戶。
Willox 和 Thomas 進一步指出,在身分識別的最開始階段,身分 識別者對目標沒有印象,目標也沒有任何的憑證資訊,因此,只能採 用基於知識或資訊的識別方式,而無法採用基於憑證的或基於生物資 訊的方法9。特別是在電子商務的經營環境下,由於其虛擬特性,基 於資訊的識別應用尤其廣泛。Willox 和 Thomas 認為,理論上可以使 基於資訊的識別變得非常安全。他們的假設前提是:冒名者不可能知 道他人的全部個人資料,因此,只要用來識別身分的資訊足夠多,我 們就可以準確的識別一個人的身分。但是,用於身分識別的特徵值必 須是雙方都掌握才行,所以要求身分識別者必須收集到足夠數量和品 質的個人身分資訊,但由此又會引出成本、隱私保護、識別過程效率 等一系列問題。10
由於個人資訊的範圍相當廣泛,其所涵蓋的資訊類型亦相當多元、
9 WILLOX N A, REGAN T. Identity Fraud: Providing a Solution [J] . Journal of Economic Crime Management , 2002, 1(1) : 2-17.
10 Ibid.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
複雜。如,黃昭元(2005)所提出之個人資訊分類如下:11 1. 個人的資訊或有關個人的資訊:
所謂個人資訊,可區分為「個人的資訊」(information of persons) 和「有關個人的資訊」(information about persons)兩類。前者和個人 不可分,通常具有獨特性與專屬性,如姓名、性別、年齡、五官面貌、
身高、指紋、DNA 等。後者多半因個人的行為或活動所產生者,如 教育程度、職業、財務狀態、婚姻狀態等。個人的資訊所具有的身分確 認功能明顯高於有關個人的資訊。
2. 敏感或非敏感資訊
有些資訊對於個人具有一身專屬與高度隱密性或其揭露將對個 人造成嚴重的影響者為敏感性資訊,如個人感情及性生活為具有一身 專屬與高度隱密性之資訊;另如個人財務狀況、政治傾向等。其他則屬 非敏感資訊。因敏感性資訊於個人具有一身專屬與高度隱密性或其揭 露將對個人造成嚴重的影響,故對敏感性資訊的干預,應要從嚴審 查。
3. 顯性型或隱性型資訊
如以資訊的解讀方式作區別,則可分為顯性型及隱性型的資訊。
所謂顯性型資訊係指依一般人知識能力或經驗感官即可為認知,例如
11 黃昭元,「無指紋則無身分證?換發國民身分證與強制全民捺指紋的憲法爭議分析」,《民主、人
權、國家-蘇俊雄教授七秩華祝壽論文集」》,2005 年 9 月,頁 474、475。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
個人之姓名、身高、性別等等。此種資訊通常以人工即可判讀,有一 望即知,即可當場確認,如姓名;有些為半公開資訊,如身高。因而顯 性型資訊敏感度或私密度較低,亦稱為人工判讀型資訊。而隱性型資訊 則需透過機器才能判讀,甚至須經過特殊專業訓練的極少數人才能解 讀機器的判讀結果,如血液、指紋、視網膜、虹膜、DNA 等各種生 物特徵資訊,又稱機器判讀型資訊。
學術界在這一領域的研究成果是分散和起步性的,沒有形成系統 的理論體系,還不足以為解決身分識別問題提供一個堅實的、可即用 的理論基礎。12但這似乎也是必然的,因為就身分識別而言,其應用 目的不一,方式多變,且會隨著時代進步而變化。